본문 바로가기
벌새::Analysis

검색 도우미 : Windows iCream Platform

벌새 2015. 12. 15. 19:16
반응형

인터넷 검색시 특정 검색 키워드 값을 참조하여 광고창을 자동으로 생성할 수 있는 국내에서 제작된 "Windows iCream Platform" 광고 프로그램(SHA-1 : e3ff734a2f246ae337f6c7c0ea8230c62d0e5876 - AVG : Generic.8D6)에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 2015년 4월경부터 웹하드 제휴 프로그램을 통해 배포된 것으로 추정되며, 기존의 유사한 기능을 가진 "Topspace Windows IE Platform" 광고 프로그램 계열로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows iCream Platform
C:\Program Files\Windows iCream Platform\iCreamHelper.exe :: 시작 프로그램(iCreamService) 등록 파일, 프로그램 삭제 파일
C:\Program Files\Windows iCream Platform\iCreamService.exe :: 메모리 상주 프로세스
C:\Program Files\Windows iCream Platform\logs
C:\Program Files\Windows iCream Platform\temp
C:\Program Files\Windows iCream Platform\update
C:\Users\(사용자 계정)\AppData\Local\iCreamService

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows iCream Platform\iCreamHelper.exe
 - SHA-1 : 68750fc3721a8858c4f593da67e8df56fd12dbbf
 - AVG : Generic.8D6

 

C:\Program Files\Windows iCream Platform\iCreamService.exe
 - SHA-1 : f58b1775a462bb6f31a123dce08cb46fbf44846c
 - AVG : Generic.8D6

GJNetworks 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\Windows iCream Platform" 폴더에 파일을 생성합니다.

Windows 시작시 iCreamService 시작 프로그램 등록값을 통해 "C:\Program Files\Windows iCream Platform\iCreamHelper.exe" 파일을 자동 실행하도록 구성되어 있으며, 실행된 파일은 업데이트 체크 후 광고 기능을 수행하는 "C:\Program Files\Windows iCream Platform\iCreamService.exe" 파일을 로딩하여 메모리에 상주시킵니다.

메모리에 상주한 iCreamService.exe 파일은 광고 구성값 정보를 체크한 후 사용자가 포털 검색 및 특정 인터넷 쇼핑몰 사이트를 방문하여 인터넷 검색을 시도하는 과정에서 검색 키워드 값을 참조하여 다양한 광고창을 자동으로 생성할 수 있습니다.

 

"Windows iCream Platform" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 iCreamService.exe 프로세스를 찾아 종료하시기 바랍니다.

"C:\Program Files\Windows iCream Platform\iCreamHelper.exe" "CMD=UNINSTALL"

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows iCream Platform" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Local\iCreamService" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GJNetworks
HKEY_CURRENT_USER\Software\iCreamService
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iCreamService = C:\Program Files\Windows iCream Platform\iCreamHelper.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\iCreamService

 

사용자는 "Windows iCream Platform" 프로그램 이름으로는 광고 프로그램인지 확인하기 어려우며, 인터넷 검색시 원치않는 광고창 생성으로 불편을 겪을 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

[관련글 보기]

 

제휴(스폰서) 프로그램 : Xecure speller Application (2012.9.5)

 
728x90
반응형

티스토리툴바